PC-Experience (https://www.pc-experience.de/wbb2/index.php)
- Software Foren: (https://www.pc-experience.de/wbb2/board.php?boardid=17)
-- Windows 9x, NT, 2000, XP: (https://www.pc-experience.de/wbb2/board.php?boardid=18)
--- Angriff - Rechner fährt runter (https://www.pc-experience.de/wbb2/thread.php?threadid=14958)

Geschrieben von Clooney am 10.04.2005 um 00:58:

  Angriff - Rechner fährt runter

Hi zusammen,

habe mir wohl etwas eingefangen, als ich auf einer ominösen Lyrics-Seite war. Was relativ selten vorkommt, da ich mein System zumindest basisgesichert habe, also: Sygate PF, Antivir aktiv, mit Ad-aware, a squared und McAfee-Stinger wird gescannt, mit Hijack und Regcleaner kontrolliert.

Nun also läd der IE irgendwas (auf deutsch, er tickert vor sich hin) und plötzlich fährt der Rechner runter und startet neu.

Ich habe natürlich als erstes alle oben genannten Programme durchlaufen lassen, plus einen Online-Scan, habe die Prozesse angeschaut - ohne Ergebnis.

Meine Frage: Was ist das für ein Schädling, wo hält er sich möglicherweise versteckt oder wurde er abgewehrt (warum fährt dann aber der Rechner runter)???

neugierig,

der Clooney


Geschrieben von Guenni51 am 10.04.2005 um 10:57:

 

Hallo
hast du das mal mit ewido gescannt der findet sehr viel Trojaner,Würmer und Viren.
Es gibt eine 14 Tage Version. www.ewido.net/de/download/

Gruß
Guenni51


Geschrieben von Tux am 10.04.2005 um 12:18:

 

poste mal das Logfile von Hijackthis, nimm aber die aktuelle 1.99.1 Version


Geschrieben von Clooney am 10.04.2005 um 17:24:

 

Hier ist der LOGfile. Scheint alles in Ordnung, nur die miamore32.dll ist für mich nicht zuzuordnen.



Logfile of HijackThis v1.99.1
Scan saved at 17:14:57, on 10.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\Dokumente und Einstellungen\s\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\system32\miamore32.dll - {1559C6FD-8BDE-476E-98C7-871E59193FCE} - C:\WINDOWS\system32\miamore32.dll
O2 - BHO: C:\WINDOWS\system32\atmpvc.dll - {7DBA5E61-9C51-4365-ACD2-DE684E133F8C} - C:\WINDOWS\system32\atmpvc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\miamore32.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\miamore32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted Zone: www.bundesliga.de
O15 - Trusted Zone: www.epost.de
O15 - Trusted Zone: www.spiegel.de
O15 - Trusted Zone: http://www.spk-goettingen.de
O15 - Trusted Zone: www.tvtv.de
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\windows\system32\cm.exe
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f010.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F2F78D9-7F7D-4156-B03B-7743AEEB980C}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{5F2F78D9-7F7D-4156-B03B-7743AEEB980C}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll
O20 - Winlogon Notify: lindow - C:\WINDOWS\system32\miamore32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe




Es läuft alles auch einwandfrei. Für mich ist nur dieses eigenartige runterfahren und wieder starten neu........ Vielleicht war das ja so eine Art Abwehrreaktion? ;-)


Geschrieben von Tux am 10.04.2005 um 17:46:

 

alles in Ordnung?

ganz sicher nicht, kopier dir dein Logfile mal hier rein und lass es auswerten Augenzwinkern

da sind noch mehr fragwürdige Einträge wie z.B. cm.exe!

fix die Sachen mit Hijackthis und lade dir auch mal die Testversion von Kaspersky 5.0 Personal runter: klick

aktualisiere die Virendefinitionen und stell Kaspersky nach diesem Artikel ein , denn Antivir kannst du getrost vergessen


Geschrieben von Clooney am 10.04.2005 um 18:31:

 

man lernt nicht aus ;-)

Besten Dank!


mfg,

Clooney


Geschrieben von Athena am 11.04.2005 um 00:02:

 

wenn alles geklappt hat, wäre ein Feedback nett Augenzwinkern


Athena


Geschrieben von Clooney am 11.04.2005 um 00:16:

 

Mein letztes Posting war als Feedback gemeint Augenzwinkern

Die Logfile-Auswertung hat mir einige neue Erkenntnisse gebracht, Kaspersky hat nichts gefunden.
Da, wie beschrieben, auch vorher alles lief, ist der Effekt jetzt natürlich wenig spektakulär.
Meine ursprüngliche Frage bezog sich mehr auf das Phänomen "runterfahren". Aber wie auch immer: Mehr als scannen und nichts finden kann man nicht.

Also nochmals vielen Dank allen Beteiligten

Grüße vom Clooney


Forensoftware: Burning Board , entwickelt von WoltLab GmbH